15.5. Booleans de virtualização
Para uma configuração granulada fina da segurança das máquinas virtuais em um sistema RHEL 8, você pode configurar as booleanas SELinux no host para garantir que o hipervisor atue de uma forma específica.
Para listar todas as booleanas relacionadas à virtualização e seus status, use o comando getsebool -a | grep virt:
$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]
Para habilitar um booleano específico, use o setsebool -P boolean_name on comando como raiz. Para desativar um booleano, use setsebool -P boolean_name off.
A tabela a seguir lista as booleanas relacionadas à virtualização disponíveis no RHEL 8 e o que elas fazem quando ativadas:
| SELinux Boolean | Descrição |
|---|---|
| staff_use_svirt | Permite que os usuários não-rootores criem e façam a transição de VMs para sVirt. |
| unprivuser_use_svirt | Permite que usuários sem privilégios criem e façam a transição de VMs para sVirt. |
| virt_sandbox_use_audit | Permite que os contentores de areia enviem mensagens de auditoria. |
| virt_sandbox_use_netlink | Permite que os recipientes de areia utilizem chamadas de sistema netlink. |
| virt_sandbox_use_sys_admin | Permite que recipientes de areia utilizem chamadas de sistema sys_admin, como, por exemplo, montagem. |
| virt_transition_userdomain | Permite que os processos virtuais sejam executados como domínios de usuário. |
| virt_use_comm | Permite que o virt utilize portas de comunicação serial/paralela. |
| virt_use_execmem | Permite que convidados virtuais confinados utilizem memória executável e pilha executável. |
| virt_use_fusefs | Permite que o virt leia arquivos montados em FUSE. |
| virt_use_nfs | Permite a virt gerenciar arquivos montados em NFS. |
| virt_use_rawip | Permite que o virt interaja com os soquetes em bruto. |
| virt_use_samba | Permite que o virt gerencie arquivos montados CIFS. |
| virt_use_sanlock | Permite que hóspedes virtuais confinados interajam com o sanlock. |
| virt_use_usb | Permite que o virt utilize dispositivos USB. |
| virt_use_xserver | Permite que a máquina virtual interaja com o Sistema X Window. |
